Что такое подделка User-Agent?
Подделка параметра User-Agent — это практика намеренного изменения строки User-Agent (UA) в заголовке HTTP-запроса с целью имитации другого браузера, операционной системы или устройства, отличного от того, которое фактически отправляет запрос. Серверы считывают строку UA для идентификации клиентов, поэтому её изменение влияет на то, с кем, по мнению сервера, происходит взаимодействие. Широко применяется при веб-парсинге, автоматизированном тестировании и использовании инструментов для обеспечения конфиденциальности.
Как работает подделка User-Agent
Строка User-Agent представляет собой заголовок в виде простого текста, отправляемый с каждым HTTP-запросом. Любой HTTP-клиент может установить для неё любое значение по своему усмотрению. Отправка User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)... Например, с помощью скрипта на Python можно сообщить серверу, что он взаимодействует с браузером Chrome в операционной системе Windows.
Разработчики браузеров по замыслу сделали определение строки UA ненадежным. MDN Web Docs (2025) отмечается, что браузеры регулярно маскируют свою строку User-Agent, поэтому MDN вообще не рекомендует использовать её для определения браузера. Современная альтернатива — User-Agent Client Hints — требует от серверов явного согласия посредством Accept-CH заголовок ответа.
Само по себе подделка строки UA зачастую недостаточна для обхода системы обнаружения ботов. Системы обнаружения сопоставляют репутацию IP-адреса, отпечаток TLS, временные паттерны и множество других сигналов наряду с заголовком UA. Поддельный UA, отправленный с IP-адреса дата-центра, всё равно может быть отмечен как подозрительный, поскольку тип IP-адреса противоречит заявленной идентичности браузера. Сочетание реалистичного UA с IP-адресом частного пользователя, то есть адресом, исходящим с реального потребительского устройства, позволяет более надежно устранить это противоречие.
Часто задаваемые вопросы
Редко используется в одиночку. Большинство систем обнаружения ботов рассматривают строку UA как один из многих слабых индикаторов. Поддельный UA, отправленный с IP-адреса дата-центра, по-прежнему можно идентифицировать по поведению TLS, репутации IP-адреса и временным параметрам запроса. Использование IP-адреса в качестве индикатора обычно оказывается более эффективным, чем одна только подделка UA.
Ответ зависит от контекста и юрисдикции. Подделка идентификатора пользователя (UA) для тестирования совместимости браузеров или исследования доступности, как правило, не вызывает споров. Использование этой практики для обхода средств контроля доступа или нарушения условий предоставления услуг сайта может повлечь за собой правовые или договорные риски. Перед отправкой автоматических запросов всегда ознакомьтесь с условиями предоставления услуг целевого сайта.
MDN Web Docs (2025) определяет «подсказки клиента User-Agent» в качестве альтернативы, обеспечивающей конфиденциальность. Серверы должны отправлять Accept-CH заголовок ответа для запроса конкретных указаний, что дает клиентам больше возможностей контролировать, какую информацию они раскрывают.